최근 마이크로소프트 빌드 엔진인 MSBuild를 악용해 코발트 스트라이크를 유포한 정황이 발견됐다.
공격자는 공격에 사용한 MSBuild에 코발트 스트라이크를 빌드 및 실행이 가능하도록 작성한 코드를 추가했다. 이후, 해당 빌드 엔진을 실행하면 공격자의 C&C 서버와 통신해 추가 페이로드를 다운로드한다.
보안 전문가는 이번 사건과 관련해 윈도우 디펜더에서 악성 프로그램 차단 정책을 사용하면 유사한 공격을 무력화할 수 있다고 언급했다.
출처
[1] SecurityAffairs (2021.12.30) - Threat actors are abusing MSBuild to implant Cobalt Strike Beacons
https://securityaffairs.co/wordpress/126104/hacking/msbuild-cobalt-strike-beacons.html
'최신 보안 동향' 카테고리의 다른 글
| Telegram 설치 프로그램을 위장한 PurpleFox (0) | 2022.01.06 |
|---|---|
| 동아시아 기업을 표적으로 삼는 Flagpro 악성코드 등장 (0) | 2021.12.31 |
| 공격 대상에게 복호화 툴을 제공한 AvosLocker 랜섬웨어 조직 (0) | 2021.12.30 |
| 해외 결제로 위장한 피싱 문자 주의 (0) | 2021.12.28 |
| 스파이더맨-노 웨이 홈을 주제로 한 코인마이너 악성코드 발견 (0) | 2021.12.27 |